2、鏈路聚合
百科鏈路聚合:https://baike.baidu.com/item/%E9%93%BE%E8%B7%AF%E8%81%9A%E5%90%88/8626060?fr=aladdin
https://blog.csdn.net/cisco_eigrp/article/details/79971773
靜態聚合和動態聚合模式
# 創建二層聚合端口1。
<DeviceA> system-view
[DeviceA] interface bridge-aggregation 1
[DeviceA-Bridge-Aggregation1] link-aggregation mode dynamic(動態聚合模式才需要此命令)
[DeviceA-Bridge-Aggregation1] quit
# 將以太網端口Ethernet1/0/1至Ethernet1/0/3加入聚合組1。
[DeviceA] interface ethernet 1/0/1
[DeviceA-Ethernet1/0/1] port link-aggregation group 1
[DeviceA-Ethernet1/0/1] interface ethernet 1/0/2
[DeviceA-Ethernet1/0/2] port link-aggregation group 1
[DeviceA-Ethernet1/0/2] interface ethernet 1/0/3
[DeviceA-Ethernet1/0/3] port link-aggregation group 1
DeviceB 如上
配置完成後,interface Bridge-Aggregation1這條語句將使前面配置的trunk失效!!!!!鏈路聚合實際上是多條線路聚合爲一條,這將改變原有trunk線路,還有拓撲,具體變動得具體設計。
要驗證試驗一就必須將此條語句no掉(輸入 no interface Bridge-Aggregation1)或者加入:
[DeviceA] interface bridge-aggregation 1
port link-type trunk
port trunk pemit vlan X X X
測試:
聚合口配置完成後只要有當中的一條線路還能通暢,同網段主機間就可以ping通,ping -t爲無限ping,ping -n 1000爲ping1000次
3、 DHCP服務器動態分配地址
DHCP服務器(Switch A)爲網段10.1.1.0/24中的客戶端動態分配IP地址,該地址池網段分爲兩個子網網段:10.1.1.0/25和10.1.1.128/25;Switch A的兩個VLAN接口,VLAN接口1和VLAN接口2的地址分別爲10.1.1.1/25和10.1.1.129/25;10.1.1.0/25網段內的地址租用期限爲10天12小時,域名後綴爲aabbcc.com,DNS服務器地址爲10.1.1.2/25,WINS服務器地址爲10.1.1.4/25,網關的地址爲10.1.1.126/25;10.1.1.128/25網段內的地址租用期限爲5天,域名後綴爲aabbcc.com,DNS服務器地址爲10.1.1.2/25,無WINS服務器地址,網關的地址爲10.1.1.254/25。10.1.1.0/25網段與10.1.1.128/25網段的域名後綴、DNS服務器地址相同,可以只配置10.1.1.0/24網段的域名後綴和DNS服務器地址,10.1.1.0/25網段與10.1.1.128/25網段繼承10.1.1.0/24網段的配置。開啓Switch A的僞服務器檢測功能,方便管理員從系統日誌中查找僞服務器信息。
SW1和SW2與SW間的接口均爲trunk口,SW1和SW2可以不用(當只接一臺電腦時):
具體拓撲如下:
應用要求
作爲DHCP服務器的Switch A爲網段10.1.1.0/24中的客戶端動態分配IP地址,該地址池網段分爲兩個子網網段:10.1.1.0/25和10.1.1.128/25;
Switch A的兩個VLAN接口,VLAN接口1和VLAN接口2的地址分別爲10.1.1.1/25和10.1.1.129/25;
10.1.1.0/25網段內的地址租用期限爲10天12小時,域名後綴爲aabbcc.com,DNS服務器地址爲10.1.1.2/25,WINS服務器地址爲10.1.1.4/25,網關的地址爲10.1.1.126/25;
10.1.1.128/25網段內的地址租用期限爲5天,域名後綴爲aabbcc.com,DNS服務器地址爲10.1.1.2/25,無WINS服務器地址,網關的地址爲10.1.1.254/25。
10.1.1.0/25網段與10.1.1.128/25網段的域名後綴、DNS服務器地址相同,可以只配置10.1.1.0/24網段的域名後綴和DNS服務器地址,10.1.1.0/25網段與10.1.1.128/25網段繼承10.1.1.0/24網段的配置。
開啓Switch A的僞服務器檢測功能,方便管理員從系統日誌中查找僞服務器信息。
配置過程和解釋
# 使能DHCP服務。
[SwitchA] dhcp enable
# 配置不參與自動分配的IP地址(DNS服務器、WINS服務器和網關地址)。
[SwitchA] dhcp server forbidden-ip 10.1.1.2
[SwitchA] dhcp server forbidden-ip 10.1.1.4
[SwitchA] dhcp server forbidden-ip 10.1.1.126
[SwitchA] dhcp server forbidden-ip 10.1.1.254
[SwitchA] dhcp server forbidden-ip 10.1.1.1
[SwitchA] dhcp server forbidden-ip 10.1.1.129
# 配置僞服務器檢測功能。
[SwitchA] dhcp server detect
# 配置DHCP地址池1的屬性(地址池範圍、網關、WINS服務器地址、地址租用期限)。
[SwitchA] dhcp server ip-pool 1
[SwitchA-dhcp-pool-1] network 10.1.1.0 mask 255.255.255.128
[SwitchA-dhcp-pool-1] gateway-list 10.1.1.126
[SwitchA-dhcp-pool-1] expired day 10 hour 12
[SwitchA-dhcp-pool-1] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-1] domain-name aabbcc.com
[SwitchA-dhcp-pool-1] dns-list 10.1.1.2
[SwitchA-dhcp-pool-1] quit
# 配置DHCP地址池2的屬性(地址池範圍、地址租用期限、網關)。
[SwitchA] dhcp server ip-pool 2
[SwitchA-dhcp-pool-2] network 10.1.1.128 mask 255.255.255.128
[SwitchA-dhcp-pool-2] expired day 5
[SwitchA-dhcp-pool-2] gateway-list 10.1.1.254
[SwitchA-dhcp-pool-2] nbns-list 10.1.1.4
[SwitchA-dhcp-pool-2] domain-name aabbcc.com
[SwitchA-dhcp-pool-2] dns-list 10.1.1.2
[SwitchA-dhcp-pool-2] quit
開啓僞服務器檢測功能後,Switch A記錄所有DHCP服務器的信息,包括合法的DHCP服務器。管理員需要從系統日誌中查找僞DHCP服務器。當Switch A發現網絡中的其它DHCP服務器時,會記錄如下所示的日誌信息。
<SwitchA>
%Apr 30 08:07:51:896 2000 H3C DHCPS/4/DHCPS_LOCAL_SERVER:
Local DHCP server information: Server IP (detected by DHCP server) =
10.1.1.5, DHCP server interface = Vlan-interface1
Source client information: DHCP message type = DHCPREQUEST, DHCP
client hardware address = 000f-e200-000b
完整配置
#
dhcp server ip-pool 1
network 10.1.1.0 mask 255.255.255.128
gateway-list 10.1.1.126
nbns-list 10.1.1.4
expired day 10 hour 12
domain-name aabbcc.com
dns-list 10.1.1.2
#
dhcp server ip-pool 2
network 10.1.1.128 mask 255.255.255.128
gateway-list 10.1.1.254
nbns-list 10.1.1.4
domain-name aabbcc.com
dns-list 10.1.1.2
expired day 5
#
dhcp server forbidden-ip 10.1.1.2
dhcp server forbidden-ip 10.1.1.4
dhcp server forbidden-ip 10.1.1.126
dhcp server forbidden-ip 10.1.1.254
dhcp server forbidden-ip 10.1.1.1
dhcp server forbidden-ip 10.1.1.129
dhcp server detect
#
dhcp enable
#
配置注意事項
如果DHCP服務器的地址池中沒有足夠的可供分配的IP地址,則服務器無法爲客戶端分配地址,服務器不會將父地址池中的IP地址分配給客戶端。故在本例中,建議從VLAN接口1申請IP地址的客戶端數目不要超過122個;從VLAN接口2申請IP地址的客戶端不要超過124個。
DHCP服務器與客戶端在同一網段的情況下,如果服務器的接口視圖下配置了dhcp select server global-pool subaddress命令,即支持從地址分配,即DHCP服務器與客戶端在同一網段,當DHCP服務器爲客戶端分配IP地址時,優先從與服務器接口(與客戶端相連的接口)的主IP地址在同一網段的地址池中選擇地址分配給客戶端,如果該地址池中沒有可供分配的IP地址,則從與服務器接口的從IP地址在同一網段的地址池中選擇地址分配給客戶端。如果接口有多個從IP地址,則從第一個從IP地址開始依次匹配。如果未指定本參數,則只能從與服務器接口的主IP地址在同一網段的地址池中選擇地址分配給客戶端。
支持從地址分配,即DHCP服務器與客戶端在同一網段,當DHCP服務器爲客戶端分配IP地址時,優先從與服務器接口(與客戶端相連的接口)的主IP地址在同一網段的地址池中選擇地址分配給客戶端,如果該地址池中沒有可供分配的IP地址,則從與服務器接口的從IP地址在同一網段的地址池中選擇地址分配給客戶端。如果接口有多個從IP地址,則從第一個從IP地址開始依次匹配。如果未指定本參數,則只能從與服務器接口的主IP地址在同一網段的地址池中選擇地址分配給客戶端。
Gateway爲網關路由器,必須使用路由器,Sever以及Client用主機,SwitchA和SwitchB可爲二層或三層交換機均可。
圖越看越不想做。。。
兩個服務器用真機,所有連接線接入SwitchA或者同域交換機,配置DHCP服務器的交換機二層或者三層均可,配好接口地址,至於路由器作爲主機自動獲取地址,我還不會
DHCP 獲取169.254網段地址,原因:https://blog.51cto.com/hccing/1585966
具體原因是因爲我沒有在交換機之間的口配置成trunk口:https://www.cnblogs.com/boshen-hzb/p/9900814.html
正確獲得地址:
4.OSPF
在一個OSPF自治系統中ABR的配置情況。Router A 、Router B運行在area 0;Router B、Router C運行在area 1,Router B爲ABR
Router A配置
#
//設置router-id,與loopback 0的IP地址一致
router-id 1.1.1.1
#
interface GigabitEthernet0/0
ip address 20.2.2.1 255.255.255.252
#
interface GigabitEthernet0/1
ip address 10.1.1.1 255.255.255.0
#
interface Loopback0
ip address 1.1.1.1 255.255.255.255
#
//啓動OSPF進程,創建區域0,並在接口使能OSPF
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.255
network 20.2.2.0 0.0.0.255
#
Router B 配置
#
router-id 2.2.2.2
#
interface GigabitEthernet0/0
ip address 20.2.2.2 255.255.255.252
#
interface GigabitEthernet0/1
combo enable copper
ip address 30.3.3.1 255.255.255.252
#
interface Loopback0
ip address 2.2.2.2 255.255.255.255
#
//啓動OSPF進程,創建區域0和區域1,並將接口加入到不同的區域中
ospf 1
area 0.0.0.0
network 20.2.2.0 0.0.0.255
area 0.0.0.1
network 30.3.3.0 0.0.0.255
#
Router C 配置
#
router-id 3.3.3.3
#
interface GigabitEthernet0/0
ip address 30.3.3.2 255.255.255.252
#
interface GigabitEthernet0/1
ip address 40.4.4.1 255.255.255.0
#
interface Loopback0
ip address 3.3.3.3 255.255.255.255
#
//啓動OSPF進程,創建區域1,在接口上使能OSPF
ospf 1
area 0.0.0.1
network 30.3.3.0 0.0.0.255
network 40.4.4.0 0.0.0.255
#
配置關鍵點
1)Router id 最好配置成和loopback接口地址相同。若沒有手工指定router id ,路由器會從當前接口的IP地址中自動選擇一個。
2)注意在ABR上要將接口加入到不同的區域中。
3)PC機網關必須設爲路由器對應接口地址
display ospf routing 命令查看路由器的OSPF 路由表:
display ospf peer 命令查看路由器OSPF 鄰居狀態:
RouterA和RouterC均爲BDR(備份路由器),RouterB爲DR(根路由器)。
display ip routing-table 命令查看路由器全局路由表:
RouterA和RouterC均爲INTER(域內路由),RouterB爲INTRA(域間路由),後綴爲32位的更精確的主機自主生成的主機路由,24位的爲管理員配置的網絡路由。
5、NAT
https://baike.baidu.com/item/nat/320024?fr=aladdin
內網用戶通過路由器的NAT地址池轉換來訪問Internet,並且向外網用戶提供www服務。
設備清單:MSR系列路由器1臺,PC 1 臺
配置步驟
MSR1 配置
#
//用戶NAT的地址池
nat address-group 1 202.100.1.3 202.100.1.6
#
//配置允許進行NAT轉換的內網地址段
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
rule 1 deny
#
interface GigabitEthernet0/0
port link-mode route
//在出接口上進行NAT轉換
nat outbound 2000 address-group 1
//在出接口上配置內網服務器192.168.0.2的www服務
nat server protocol tcp global 202.100.1.3 www inside 192.168.0.2 www
ip address 202.100.1.2 255.255.255.0
#
interface GigabitEthernet0/1
port link-mode route
//內網網關
ip address 192.168.0.1 255.255.255.0
#
//配置默認路由
ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
#
我的配置:
[ROUTER]nat address-group 1
[ROUTER-address-group-1]address 202.100.1.3 202.100.1.6
[ROUTER]acl basic 2000
[ROUTER-acl-ipv4-basic-2000]rule 0 permit source 192.168.0.0 0.0.0.255
[ROUTER-acl-ipv4-basic-2000]rule 1 deny
[ROUTER-acl-ipv4-basic-2000]interface GigabitEthernet0/0
[ROUTER-GigabitEthernet0/0]port link-mode route
[ROUTER-GigabitEthernet0/0]nat outbound 2000 address-group 1
[ROUTER]interface GigabitEthernet0/1
[ROUTER-GigabitEthernet0/1]nat server protocol tcp global 202.100.1.3 inside 192.168.0.2
[ROUTER-GigabitEthernet0/1]ip ad
[ROUTER-GigabitEthernet0/1]ip address 192.168.0.1 255.255.255.0
[ROUTER-GigabitEthernet0/1]ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
(直連路由可以不需要這條命令,非直連網絡必須要這條命令網絡纔可以通暢)
配置關鍵點(碰到無法敲入的命令時莫要慌張,使用?號)
在出接口做NAT轉換。
內網ping外網,分別在代表內外網的主機上抓包,如果外網也可以ping通內網,是因爲網絡直連或者是有路由協議,正常情況下外網無法得悉內網地址,也就無從ping起
由上圖可知,地址池中地址作爲轉換地址連通外網,說明nat轉換配置成功
內網主機正常
6、VRRP
兩臺路由器RTA、RTB加入兩個vrrp組,實現冗餘備份,同時實現負載分擔。
IP地址說明:
(如圖所示:RTA與RTC之間爲192.168.1.0/24網段,RTC與RTB之間爲192.168.2.0/24網段)
RTA: E0/0: 172.10.1.1/16 E0/1: 192.168.1.1/24
RTB: E0/0: 172.10.1.2/16 E0/1: 192.168.2.1/24
RTC: E0/0: 192.168.1.2/24 E0/1: 192.168.2.2/24
Vrrp虛接口1: 172.10.2.1
Vrrp虛接口2: 172.10.3.1
配置步驟
1.配置PC1的IP地址:172.10.1.6/16, 默認網關指向172.10.2.1
2.配置PC2的IP地址:172.10.1.7/16, 默認網關指向172.10.3.1
RTA配置
#
interface GigabitEthernet0/0
port link-mode route
ip address 172.10.1.1 255.255.0.0
vrrp vrid 1 virtual-ip 172.10.2.1
vrrp vrid 1 priority 150
vrrp vrid 2 virtual-ip 172.10.3.1
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
rip 1
network 172.10.0.0
network 192.168.1.0
RTB配置
#
interface GigabitEthernet0/0
port link-mode route
ip address 172.10.1.2 255.255.0.0
vrrp vrid 1 virtual-ip 172.10.2.1
vrrp vrid 2 virtual-ip 172.10.3.1
vrrp vrid 2 priority 150
#
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.2.1 255.255.255.0
#
rip 1
network 172.10.0.0
network 192.168.2.0
RTC配置
#
interface GigabitEthernet 0/0
ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet 0/1
ip address 192.168.2.2 255.255.255.0
#
interface LoopBack1
ip address 192.168.8.8 255.255.255.255
#
rip
network 192.168.1.0
network 192.168.2.0
network 192.168.8.0
結果分析
1 配置完成後,從PC1上tracert RTC上的Loopback1接口,數據包經過RTA到達RTC,從PC2上tracert RTC的Loopback1接口,數據包經過RTB到達RTC。
2當shutdown掉RTA的E0/0端口後查看RTB的vrrp信息,可以看到,此時兩個vrrp的虛擬網關均爲在RTB側。
報告:
出現可以ping通卻無法tracert的情況,百度後得知需要敲以下兩條命令方可。
[RTC]ip ttl-expires enable 差錯控制報文ttl爲0則錯誤,丟包
[RTC]ip unreachables enable
ip unreachables enable命令用來開啓設備的ICMP目的不可達報文的發送功能。undo ip unreachables命令用來關閉設備的ICMP目的不可達報文的發送功能。
缺省情況下,ICMP目的不可達報文發送功能處於關閉狀態。
ip ttl-expires enable命令用來開啓設備的ICMP超時報文的發送功能。undo ip ttl-expires命令用來關閉設備的ICMP超時報文的發送功能。
缺省情況下,ICMP超時報文發送功能處於關閉狀態。
需要注意的是,關閉ICMP超時報文發送功能後,設備不會再發送“TTL超時”ICMP差錯報文,但“重組超時”ICMP差錯報文仍會正常發送